problème sécurité - accès fichier pdf

Ma préférence personnelle est de stocker les fichiers en dehors du site web.

Sinon il faudrait associer toutes les extensions à protéger de manière à ce
que le mécanisme d'authentification d'ASP.NET entre en jeu (cf "mapping"
dans la console IIS) : par exemple
http://support.microsoft.com/kb/893662/en-us

--
Patrice

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
news:eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...

Bonjour,

Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du site.

J'ai une authentification par formulaire avec une base de données.

Comment peut on autoriser l'accès à certain fichier pdf en fonction de la
personne authentifier dans la session sachant que l'on a toujours le
problème de tapper l'url dans le navigateur et d'accéder directement au
site.

Merci d'avance, Sébastien.

Merci pour la réponse.

Le problème est que même les personnes identifiées n'ont pas le droit
d'accèder à certains fichier.
Comment réaliser ce paramètrage???
Un utilisateur a le droit d'accéder à certain fichier et pas d'autres !!!

Merci

"Patrice" <nobody@nowhere.com> a écrit dans le message de
news:OJXDEU3wFHA.2656@TK2MSFTNGP09.phx.gbl...

Ma préférence personnelle est de stocker les fichiers en dehors du site

web.

Sinon il faudrait associer toutes les extensions à protéger de manière à

ce

que le mécanisme d'authentification d'ASP.NET entre en jeu (cf "mapping"
dans la console IIS) : par exemple
http://support.microsoft.com/kb/893662/en-us

--
Patrice

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
news:eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...
> Bonjour,
>
> Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du site.
>
> J'ai une authentification par formulaire avec une base de données.
>
> Comment peut on autoriser l'accès à certain fichier pdf en fonction de

la

> personne authentifier dans la session sachant que l'on a toujours le
> problème de tapper l'url dans le navigateur et d'accéder directement au
> site.
>
> Merci d'avance, Sébastien.
>
>

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de news:
%239LoVs3wFHA.2728@TK2MSFTNGP14.phx.gbl...

Merci pour la réponse.

Le problème est que même les personnes identifiées n'ont pas le droit
d'accèder à certains fichier.
Comment réaliser ce paramètrage???
Un utilisateur a le droit d'accéder à certain fichier et pas d'autres !!!

Merci

j'ai le même problème ! j'ai posé la question il y a peu de temps dans ce
forum,
et je patauge au même endroit. Même en étant identifié, il me renvoie sur la
page de login. si vous avez une idée...

merci

Donc :
- je mettrais les fichiers en dehors du site Web (sous un id plutôt que sous
un nom utilisateur)
- je stockerais dans une base la liste des fichiers et les droits qui leur
sont associés

A partir de là les pages ASPX peuvent lister les fichiers auquel
l'utilisateur a droit et la page d'accès peut envoyer vers le navigateur
(Response.WriteFile) un fichier (après avoir vérifié à nouveau que
l'utilisateur y a bien droit...)

Sinon les droits NTFS s'appliquent également à une application Web. Cela
doit donc être également jouable en mettant les droits NTFS appropriés sur
les différents fichiers (après il faut aussi j'imagine les présenter sur une
page, permettre à quelqu'un de modifier ces droits etc...).

---
Patrice

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
news:%239LoVs3wFHA.2728@TK2MSFTNGP14.phx.gbl...

Merci pour la réponse.

Le problème est que même les personnes identifiées n'ont pas le droit
d'accèder à certains fichier.
Comment réaliser ce paramètrage???
Un utilisateur a le droit d'accéder à certain fichier et pas d'autres !!!

Merci

"Patrice" <nobody@nowhere.com> a écrit dans le message de
news:OJXDEU3wFHA.2656@TK2MSFTNGP09.phx.gbl...
> Ma préférence personnelle est de stocker les fichiers en dehors du site
web.
>
> Sinon il faudrait associer toutes les extensions à protéger de manière à
ce
> que le mécanisme d'authentification d'ASP.NET entre en jeu (cf "mapping"
> dans la console IIS) : par exemple
> http://support.microsoft.com/kb/893662/en-us
>
> --
> Patrice
>
> "Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
> news:eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...
> > Bonjour,
> >
> > Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du

site.

> >
> > J'ai une authentification par formulaire avec une base de données.
> >
> > Comment peut on autoriser l'accès à certain fichier pdf en fonction de
la
> > personne authentifier dans la session sachant que l'on a toujours le
> > problème de tapper l'url dans le navigateur et d'accéder directement

au

> > site.
> >
> > Merci d'avance, Sébastien.
> >
> >
>
>

dans les droits que tu donnes pour accèder aux fichiers,
tu peux soit spécifier le fait d'être un user anonyme ou enregister,
soit plus finement attribuer des roles dans lesquels tu mettras des
utilisateurs
<location path="page.html">
<system.web>
<authorization>
<allow roles="a,b,c"/>
<deny users="?">
</authorization>
</system.web>
</location>

denis wrote:

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de news:
%239LoVs3wFHA.2728@TK2MSFTNGP14.phx.gbl...

Merci pour la réponse.

Le problème est que même les personnes identifiées n'ont pas le droit
d'accèder à certains fichier.
Comment réaliser ce paramètrage???
Un utilisateur a le droit d'accéder à certain fichier et pas d'autres !!!

Merci

j'ai le même problème ! j'ai posé la question il y a peu de temps dans ce
forum,
et je patauge au même endroit. Même en étant identifié, il me renvoie sur la
page de login. si vous avez une idée...

merci

voici un début de réponse.

http://support.microsoft.com/kb/893662/en-us


"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de news:
eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...

Bonjour,

Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du site.

J'ai une authentification par formulaire avec une base de données.

Comment peut on autoriser l'accès à certain fichier pdf en fonction de la
personne authentifier dans la session sachant que l'on a toujours le
problème de tapper l'url dans le navigateur et d'accéder directement au
site.

Merci d'avance, Sébastien.

"Patrice" <nobody@nowhere.com> a écrit dans le message de
news:OmBOLu4wFHA.2076@TK2MSFTNGP14.phx.gbl...

Donc :
- je mettrais les fichiers en dehors du site Web (sous un id plutôt que

sous

un nom utilisateur)
- je stockerais dans une base la liste des fichiers et les droits qui leur
sont associés

A partir de là les pages ASPX peuvent lister les fichiers auquel
l'utilisateur a droit et la page d'accès peut envoyer vers le navigateur
(Response.WriteFile) un fichier (après avoir vérifié à nouveau que
l'utilisateur y a bien droit...)

Lorsque je fais un WriteFile du fichier PDF, la page affiche le contenu du
fichier et non le fichier PDC lui même.

Si je fournis un lien sur un fichier, rien n'empèche un autre utilisateur de
récupérer le fichier en utilisant le lien directement... (il faut évidemment
connaître le lien mais les données sont très confidentielles)

Si je ne mets pas les fichiers dans le site (et même en dehors de IIS), le
lien n'est pas accesible depuis d'autres machines (par exemple :
C:FichierPdf.pdf)

J'ai bien tester toutes les possibilités fournient, mais rien ne marche,
soit j'ai oublié qqchose, soit mon problème est to much compliqué !!!

Sinon les droits NTFS s'appliquent également à une application Web. Cela
doit donc être également jouable en mettant les droits NTFS appropriés sur
les différents fichiers (après il faut aussi j'imagine les présenter sur

une

page, permettre à quelqu'un de modifier ces droits etc...).

Oui, mais je supose que les droits NTFS se base sur Windows et les
utilisateurs du DOMAINE. Or mon authentification est de type Form avec la
gestion d'une base. Donc aucune intervention avec Windows pour le
paramètrage de la sécurité.

---
Patrice

"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
news:%239LoVs3wFHA.2728@TK2MSFTNGP14.phx.gbl...
> Merci pour la réponse.
>
> Le problème est que même les personnes identifiées n'ont pas le droit
> d'accèder à certains fichier.
> Comment réaliser ce paramètrage???
> Un utilisateur a le droit d'accéder à certain fichier et pas d'autres

!!!

>
> Merci
>
> "Patrice" <nobody@nowhere.com> a écrit dans le message de
> news:OJXDEU3wFHA.2656@TK2MSFTNGP09.phx.gbl...
> > Ma préférence personnelle est de stocker les fichiers en dehors du

site

> web.
> >
> > Sinon il faudrait associer toutes les extensions à protéger de manière

à

> ce
> > que le mécanisme d'authentification d'ASP.NET entre en jeu (cf

"mapping"

> > dans la console IIS) : par exemple
> > http://support.microsoft.com/kb/893662/en-us
> >
> > --
> > Patrice
> >
> > "Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de
> > news:eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...
> > > Bonjour,
> > >
> > > Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du
site.
> > >
> > > J'ai une authentification par formulaire avec une base de données.
> > >
> > > Comment peut on autoriser l'accès à certain fichier pdf en fonction

de

> la
> > > personne authentifier dans la session sachant que l'on a toujours le
> > > problème de tapper l'url dans le navigateur et d'accéder directement
au
> > > site.
> > >
> > > Merci d'avance, Sébastien.
> > >
> > >
> >
> >
>
>

Merci pour le lien,

Mais il me semble que cela ne répond pas au problème...

"fabrice" <emouchet@test.com> a écrit dans le message de
news:u%23F0LCExFHA.2848@TK2MSFTNGP15.phx.gbl...

voici un début de réponse.

http://support.microsoft.com/kb/893662/en-us


"Sébastien EDEL" <s.edel@comptesajour.com> a écrit dans le message de

news:

eEM6wJ3wFHA.1252@TK2MSFTNGP09.phx.gbl...
> Bonjour,
>
> Je cherche a sécuriser l'accés à des fichiers pdf à l'intérieur du site.
>
> J'ai une authentification par formulaire avec une base de données.
>
> Comment peut on autoriser l'accès à certain fichier pdf en fonction de

la

> personne authentifier dans la session sachant que l'on a toujours le
> problème de tapper l'url dans le navigateur et d'accéder directement au
> site.
>
> Merci d'avance, Sébastien.
>
>

[coupé]

Lorsque je fais un WriteFile du fichier PDF, la page affiche le contenu du
fichier et non le fichier PDC lui même.

Plus précisemment, il faut aussi indiquer un "content-disposition" ce qui
permettra de proposer à l'utilisateur l'ouverture ou l'enregistrement du
fichier (ou un "content-type" si on veut ouvrir le PDF directement) :
http://support.microsoft.com/default.aspx?id&0519
(sinon le navigateur "pense" que c'est du HTML et l'affiche).

Si je ne mets pas les fichiers dans le site (et même en dehors de IIS), le
lien n'est pas accesible depuis d'autres machines (par exemple :
C:FichierPdf.pdf)

Response.WriteFile peut prendre un fichier qui se trouve n'importe où sur le
disque et sera donc capable de servir ce fichier à un navigateur. Si tu
parles de la mise à jour, elle peut se faire par l'application qui pourra
sauver le fichier où bon lui semble.

--

Patrice

Grand merci, j'arrive à faire ce que je veux..

"Patrice" <nobody@nowhere.com> a écrit dans le message de
news:ecZplrZxFHA.2312@TK2MSFTNGP14.phx.gbl...

[coupé]

> Lorsque je fais un WriteFile du fichier PDF, la page affiche le contenu

du

> fichier et non le fichier PDC lui même.

Plus précisemment, il faut aussi indiquer un "content-disposition" ce qui
permettra de proposer à l'utilisateur l'ouverture ou l'enregistrement du
fichier (ou un "content-type" si on veut ouvrir le PDF directement) :
http://support.microsoft.com/default.aspx?id&0519
(sinon le navigateur "pense" que c'est du HTML et l'affiche).

> Si je ne mets pas les fichiers dans le site (et même en dehors de IIS),

le

> lien n'est pas accesible depuis d'autres machines (par exemple :
> C:FichierPdf.pdf)

Response.WriteFile peut prendre un fichier qui se trouve n'importe où sur

le

disque et sera donc capable de servir ce fichier à un navigateur. Si tu
parles de la mise à jour, elle peut se faire par l'application qui pourra
sauver le fichier où bon lui semble.

--

Patrice